A leitura da Norma elenca documentos que devem ser produzidos e registros que devem ser coletados para a sua aplicação efetiva e pleito à certificação.
É importante lembrar que a implantação das normas ISO normalmente são um ciclo PDCA (Plan, Do, Check, Act). Assim, as etapas da implantação podem ser feitas com atividades agrupadas nas quatro fases do clico.
A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27001:2013:
Documentos:
- Escopo do SGSI
- Política e objetivos de segurança da informação
- Metodologia de avaliação de riscos e tratamento de riscos
- Declaração de aplicabilidade
- Plano de tratamento de riscos
- Relatório de avaliação de riscos
- Definição da funções e responsabilidades de segurança
- Inventário de ativos
- Uso aceitável dos ativos
- Política de controle de acesso
- Procedimentos operacionais para a gestão de TI
- Princípios de engenharia de sistemas seguros
- Política de segurança do fornecedor
- Procedimentos de gestão de incidentes
- Procedimentos de continuidade de negócios
- Requisitos legais, regulatórios e contratuais
Registros:
- Registros de treinamento, conhecimentos, experiência e qualificação
- Resultados de monitoramento e medição
- Programa de auditoria interna
- Resultados de auditoria interna
- Resultados da revisão de gestão
- Resultados de ações corretivas
- Registros de atividades de usuário, exceções e eventos de segurança
Pretendo compartilhar com vocês os modelos genéricos dos documentos que produzirei, eliminando deles os dados corporativos e informações particulares da empresa onde trabalho, é claro.
Nenhum comentário:
Postar um comentário